Security Testing
Tomaso Vasella
Mobile Geräte im Unternehmen
Risiken der verschwindenden Privatsphäre
Lesezeit: 20 Minuten
Die Grenzen zwischen Arbeitsumfeld und Privatsphäre scheinen zunehmend zu verschwimmen. Die strikte Trennung von privatem, geschäftlichem und sogar einem öffentlichen Leben kann kaum aufrecht erhalten werden. Diese Tendenz hat Konsequenzen.
Durch die zunehmende Präsenz und den Einzug Smartphones, Tablets, Net- und Notebooks und anderer Smartdevices im Alltag werden Menschen verstärkt dazu verführt, ihre privaten Geräte häufiger auch zu geschäftlichen Zwecke zu nutzen. Daher wird oft von IT-Consumerization gesprochen. Mit dem Einsatz solcher privater mobiler Endgeräten und Gadgets im Geschäftsumfeld, mit reinem Anspruch auf solide Sicherheit, kann es unbewusst oder vorsätzlich zu Risiken im Zusammenhang mit der Vertraulichkeit der Geschäftstätigkeit, wie auch umgekehrt zu Vorfällen, die den Schutz der eigenen Privatsphäre gefährden, kommen. Zudem können Mitarbeitende unter Umstände gegen geltende Unternehmensregeln und den Datenschutz im Unternehmen verstossen.
Die hauptsächlichen Motive für die allgegenwärtige Nutzung privater, mobiler Endgeräte durch die Mitarbeitenden sind in den Aspekten der Bequemlichkeit, des Bedienkomforts, der Mobilität und Flexibilität wie auch der Produktivität sowie Convenience and Commodity (zum Beispiel auch beim Arbeiten ausserhalb des Büros) zu finden. Und natürlich auch, weil vor allem eine jüngere Generation heute erwartet, dass das Equipment und die Technologie sich dort befindet, wo sie selbst sind. Undenkbar, dass heute noch jemand bis Arbeitsschluss wartet, um die vielen Funktionalitäten seines Smartphones oder Tablets und anderer Gadgets zu nutzen.
Doch: Wann ist überhaupt Arbeitsschluss, wenn die Trennung zwischen Arbeitszeit und Privatleben aufgelöst ist? Ohne sich zeitlich einzugrenzen gilt also, was im Privatleben Vorteile, Effizienz, Mobilität, Spass und Zerstreuung bringt, soll nun auch im Geschäftsumfeld angeblich Nutzen stiften?
Trotz vieler augenscheinlicher Vorzüge, kann die Invasion privater mobiler Devices im Geschäftsumfeld problematisch sein, weil diese Consumer Devices eigentlich nicht für den Einsatz in einem sicheren Unternehmensumfeld gemacht sind. Oft fehlen elementare Sicherheitsvorkehrungen wie Zugriffsschutz, Verschlüsselung oder Virenschutz. Zudem verfügen diese Geräte über offene, ungesicherte Schnittstellen zu Social-Media-Providern wie auch öffentlichen Cloud- und Collaboration-Diensten und privaten E-Mail-Accounts. Des Weiteren sind auch die auf den Geräten genutzten Programme – Apps genannt – nicht für den geschäftlichen Einsatz geprüft. Gewisse Apps können Daten, die sich auf dem Gerät befinden, unbemerkt an Dritte schicken.
- Heute würden wohl viele Apps bei einer grundlegenden Sicherheitsüberprüfung und Risikoeinschätzung schlecht abschneiden und gravierende Sicherheitsmängel aufweisen.
- Mitarbeitende laden Apps aus App-Stores auf ihre Geräte, die mit Unternehmensressourcen interagieren oder Business-Funktionen ausführen. Doch viele dieser Anwendungen haben oft ungenügende, aus Unternehmensperspektive inadäquate Sicherheitsvorkehrungen, und sind potentiellen Angriffen ausgesetzt und verursachen Verstösse gegen Sicherheitsrichtlinien des Unternehmens
- Viele Unternehmen sind unerfahren im Umgang mit Anwendungssicherheit im mobilen Umfeld. Wenn überhaupt Sicherheitstests durchgeführt werden, dann oft beiläufig, mehr im Sinne einer Alibiübung. Oft wird die Überprüfung von den Entwicklern selbst durchgeführt, die sich hauptsächlich mit der Funktionalität der Anwendungen identifizieren, nicht aber unbedingt mit ihrer Sicherheit.
So entsteht ein unkontrollierbares Risiko, dass sensitive Geschäftsinformationen die geschützte Geschäftssphäre verlassen, publik werden und missbraucht werden könnten. Die Komplexität durch die Gerätevielfalt führt womöglich zu schwindender Standardisierung. Rechtsunsicherheit aufgrund fehlender Erfahrung kann kostspielige Verfahren verursachen. Darüber hinaus entstehen neue Angriffsvektoren und Szenarien, deren Ausmass schwer zu prognostizieren ist.
Paradigmenwechsel
Egal, von welchen Konzepten zur Einbindung privater Devices wir sprechen, im Wesentlichen handelt es sich bei den Sicherheitsproblemen immer um Variationen desselben Grundmotivs:
- BYOD (Bring Your Own Device): Der Angestellte bringt sein eigenes, privates Gerät mit und verwendet es auch geschäftlich. Der Umfang des Einsatzes ist variabel. Die Erfolgsversprechen in punkto Einsparungen, die vor Jahren in diesem Zusammenhang ausgesprochen wurden, konnten wohl gar nicht realisiert werden.
- CYOD (Choose Your Own Device): Hier können Mitarbeitende aus einer vordefinierten Auswahl ein mobiles Gerät aussuchen, das zu ihren Tätigkeitsanforderungen und individuellen Präferenzen passt.
- COPE (Corporated Owned, Personally Enabled): Rares Modell, bei dem das Unternehmen den Mitarbeitenden ein Smartphone oder einen Tablet zur Verfügung stellt, welches auch privat eingesetzt werden darf. Umgekehrt ist der Mitarbeiter für die Maintenance und die Einhaltung der geschäftlichen Sicherheitsregeln verantwortlich.
Um die Einflüsse dieser Verschmelzung – früher scharf getrennter Sphären – auf die Sicherheit besser zu verstehen, lohnt es sich einen Blick auf die technologische und gesellschaftliche Entwicklung zu richten.
Technologisch
| Früher | Heute |
|---|---|
| Einzelner Gerätetyp | Mehrere Gerätetypen |
| Fixer, nicht mobiler Arbeitsplatz | Mobiler Arbeitsplatz und Home Office |
| Zugriff auf LAN | Mehrere Access Points wie LAN, WiFi, VPN, Mobiler Datenverkehr, EDGE, GPRS, UMTS und LTE |
| Vom Unternehmen zur Verfügung gestellt | Mix aus BYOD, COPE, CYOD und vom Unternehmen zur Verfügung gestellt |
| Vom Unternehmen entwickelte Lösungen, die lokal sind | Software as a Service (SaaS), sowohl lokal wie auch remote |
Gesellschaftlich und Kulturell
- Innovationstempo und Rhythmus: Die Innovationen im Consumer Bereich überflügeln den Fortschritt der Corporate-Technologien
- Verschmelzung von Privat- und Arbeitssphäre: Die Grenzen zwischen privater, persönlicher Nutzung und geschäftlicher, oder sogar öffentlicher Nutzung werden zunehmend vage, undeutlich und verschwimmen gänzlich ineinander.
- User Skills und Verhalten / Maturität: Zunehmende Eigenständigkeit der User (Eine Vertrauenskultur würde allerdings auch eine erhöhte Selbstverantwortlichkeit voraussetzen, was keineswegs mit Eigenständigkeit zu verwechseln ist.). Und erhöhte Ansprüche im Umgang mit IT als Konsequenz der IT-Consumerization.
- Form der Zusammenarbeit Productivity and Collaboration: Cloud computing und software-as-a-service unterstützen scheinbar die Zusammenarbeit und untergraben schlimmstenfalls die Sicherheit
- Arbeitsplatzstrategien: Implementierung neuer Produktivitätstools unterstützen diverse Arbeitsstrategien (Home office, Flex Office, Remote Work etc.)
Spannungsfeld mobile Geräte im Unternehmen
| Unternehmen | Mitarbeiter / User | |
|---|---|---|
| Will ein attraktiver Arbeitgeber sein | Will die neuesten Geräte: Eigene oder die der Firma | |
| Möchte die Mobilität (Flexibilität) der Belegschaft erhöhen. | Möchte mobil von verschiedenen Standorten aus arbeiten (Büro, zu Hause, unterwegs) | |
| Berücksichtigt Risiken der mobilen Technologie | Will zeitlich flexibel arbeiten (Jederzeit) | |
| Sucht kostengünstige Lösungen (TCO) | Möchte schnell, mobilen Zugriff auf Unternehmensdaten, Ressourcen | |
| Geschäfts-Notwendigkeit unterscheidet Benutzer Gruppen | Gleichen Zugang unabhängig von Gerät und Ort verwendet (Kohärenz) | |
| Sucht eine Lösung für geschäftliche Zwecke nicht unbedingt kompatibel zu den privaten Anwendungsfälle der Mitarbeitenden | Kosteneffizient (aus persönlicher Perspektive, bei selbst bezahltem Gerät) | |
| Einflussfaktoren auf die Verwendung von mobilen Geräten im Unternehmen | ||
| Technologie | Compliance, Gesetze und Regulations | |
| Hohes Innovationstempo | Verschärfte Gesetze und Regularien | |
| Hoher Innovationsrhythmus | Neue Standards und Best Practices (Cybersecurity) | |
| Innovation tritt in Wellen auf | Erhöhte Awareness (Cybercrime etc. in den Medien, sensitive Daten, Persönliche Daten) | |
| Wird von den Mitarbeitenden in der Regel viel früher aufgenommen / adaptiert als von Unternehmen | Datenschutzgesetz | |
| Regulatoren aller Art (Beispiel: FINMA bei Banken etc) |
Anforderungen an die Sicherheit
Ein effizientes Ausgestalten von geeigneten Sicherheitsmassnahmen muss daher viel weiter gehen als lediglich über die Abstimmung naheliegender Technoglogiebereiche wie unter anderem Versionierung von Betriebssystemen und Apps, Support, Device Management, öffentlichen wie auch privaten Netzwerken, Virtualisierung. Sie erfordert eine umfassende Einbeziehung von technischen, rechtlichen, konzeptionellen und gesellschaftlich-kulturellen Aspekten.
Es bedarf auch eines Abgleiches mit bestehenden Regulierungen, Gesetzen, Standards und einer Überprüfung der bestehenden Risikomanagement-Strategie.
Was dabei keinesfalls vergessen werden darf ist die Tatsache, dass auch die Privatsphäre der Mitarbeitenden angemessen geschützt werden muss. Da hier leicht Kollateralschäden entstehen können, das heisst dass durch die falsche Handhabung persönlicher Mitarbeiterdaten und die Verletzung deren Privatsphäre, durchaus auch nicht zu unterschätzende Reputationsverluste für das Unternehmen resultieren können, indem zum Beispiel eine Verletzung der Privatsphäre von Mitarbeitern öffentlich wird.
In diesem Zusammenhang, darf auch erwähnt werden, dass die beabsichtigte erhöhte Erreichbarkeit auch nach Verlassen des Arbeitsortes, welche scheinbar grosse Vorteile der Flexibilität und Mobilität verspricht, auch zu Verletzungen der Mitarbeiterrechte führen kann. Dies, weil es zu Anfragen, Aktivitäten und geschäftlichen Aktionen ausserhalb der geregelten Arbeitszeit kommt, und diese wiederum Konsequenzen auf existierende Arbeitszeitregelungen haben. Diese erhöhte Erreichbarkeit, wird oft und zunehmend als unangenehmer Stressfaktor wahrgenommen.
Pragmatischer Ansatz für das Design von Massnahmen im Unternehmen
Ein Ansatz für die Auslegung von Sicherheitsmassnahmen besteht in der Kategorisierung der Mitarbeitenden auf der Grundlage der Sensitivität des Datenzugriffs, den sie mittels ihres mobilen Geräts erhalten.
- Mitarbeiter, deren Arbeitsaufgaben keinen Zugriff auf sensitive Geschäfts-, Kunden- oder Personendaten vorsehen
- Mitarbeiter, deren Arbeitsaufgaben Zugriff auf sensitive Geschäfts-, Kunden- oder Personendaten haben.
Darauf aufbauend kann ein Set an allgemeinen Massnahmen definiert werden, welche generisch für beide Kategorien gelten.
- Datenklassifizierung und Schutzmassnahmen bezüglich Vertraulichkeitsstufen, Integrität und Verfügbarkeit
- Policy und Vereinbarungen gegenüber Mitarbeitenden bezüglich mobiler Geräte:
- Eine adäquate Policy schafft eine Balance der Governance zwischen eingerichteter Sicherheit des mobilen Geräts aus Sicht des Unternehmens, sowie auch bezüglich der Sicherheit der Privaten Daten des Personals auf den mobilen Geräten.
- Die richtigen Geschäftsbedingungen in Bezug auf private mobile Geräte sollte faire und ausgewogene Bedingungen enthalten, sowohl für das Unternehmen, als auch für die Mitarbeitenden. Das Personal sollte wählen können, ob sie ihr persönliches mobiles Gerät geschäftlich nützen möchten.
- Das Unternehmen sollte ausreichend über den sachgemässen Umgang mit mobilen Geräten, über eingerichtete Sicherheitsvorkehrungen und über die Konditionen zur Nutzung informieren. Dazu gehört, daran zu erinnern, dass es bei Verstössen gegen die geltenden Regeln zu Disziplinarmassnahmen kommen kann.
- Regelmässige Risikobewertung der eingesetzten Geräte (OS & Apps)
- Regelmässige Risikobewertung sollten (halbjährlich oder, immer bei Major Releases der neuen Version eines Betriebssystems) durchgeführt werden, um zu überprüfen und sicherzustellen, dass die Gerätetypen für den Einsatz im Unternehmenskontext geeignet sind.
- Eine unabhängige fachlich qualifizierte Überprüfung sollte ebenfalls regelmässig durchgeführt werden. Wichtige Themen (Datensicherheit, Data Leakage, Kundendaten und Schutz von personenbezogenen Daten etc.). Falls Risiken oder Schwachstellen, die zu Datenlecks führen können, identifiziert werden, muss dies mit angemessene Massnahmen behoben werden, um mögliche Gefahren rechtzeitig zu mildern.
Für die spezifischeren Schutzmassnahmen der beiden oben definierten Usertypen kann hier weiter unterschieden werden, ob den entsprechenden Mitarbeitenden nur Data read-only Access oder Data Storage auf ihren mobilen Geräten erlaubt wird:
Je nachdem kommen Kontrollen mit unterschiedlicher Ausprägung des Schutz-Levels zum Tragen. Hier führe ich wegen des Umfangs der Themen nur einige Aspekte als Denkanstösse auf, die unbedingt berücksichtigt werden müssen. Die Liste ist keinesfalls vollständig:
- Access Control und Berechtigungen.
- Application Vetting: Unter App Vetting versteht man im Allgemeinen ein Prüfungsprozess für mobile Applikationen mit dem Ziel zu bestimmen, ob eine App den Sicherheitsanforderungen eines Unternehmens entspricht. Ein App-Prüfungsprozess umfasst zwei Hauptaktivitäten: App-Testing (Static und Dynamic) und App Approval/Rejection. Hier noch einige oft gehörte Schlagwörter in diesem Kontext:
- Device Lock-down and Encryption of All Data and Communications (I/O, USB, WiFi, etc)
- Enforcement of Security Policies in the Device Framework
- Second-level Defenses (Prevent Attacks that bypass Security Framework (Kernel –level)
- In-Field Instrumentation
- Securing Provisioning Process
- Schutz vor malicious Apps/Viruses/Malware
- Data Protection im allgemeinen und Encryption von Daten, die auf dem Device gespeichert sind (wie auch DLP)
- Security Patching / Operating System (OS) Updates
- Zulässige Nutzung: Welche Devices, Plattformen, Anwendungen, Services und Zubehör sind vom Unternehmen erlaubt.
- Device-Management:
- Hardwarewartung
- Wie gross ist der Umfang zentralisierter Kontrolle?
- Wird eine Containerization eingesetzt?
- Wie können Geräte gesperrt, gelöscht oder wiederhergestellt werden (zum Beispiel verlorengegangene oder gestohlene Geräte?
- Was geschieht bei Geräteverlust, Diebstahl oder Beschädigung?
- Wie weit können Mitarbeitende Support durch das Unternehmen für private Geräte erhalten?
Auch hier muss wieder klar geregelt werden, wie die Privatsphäre der Mitarbeitenden geschützt wird, wenn bei Supportfällen eine IT Abteilung Zugriff auf das mobile Gerät und somit auch auf private bzw. persönliche Daten erhält.
Exkurs: Risikobasierter Ansatz
Für die Risikomanagementstrategie sollte auch eine Methode erörtert werden, wie Risiken bezüglich des Einsatzes mobiler Geräte umgesetzt werden kann. Hier eignet sich das Vorgehen über eine Risikomatrix, bei der auf der einen Seite die Expositionskriterien (mögliche Implikationen und Schwachstellen), so den Datenanforderungen gegenübergestellt werden, dass daraus ein potentielles Risiko resultiert.
Eintretenswahrscheinlichkeit
Rudimentäre und generelle Anforderungen des Unternehmens lassen sich in zwei kurze und beliebig erweiterbare Fragekataloge aufteilen, die je einen Indikator für die Eintretenswahrscheinlichkeit darstellen. Daher sind die folgenden Tabellen ein Grundgerüst und keinesfalls abschliessend.
| Eigenschaften Gerät und Funktionsweisen | ||||
|---|---|---|---|---|
| Gerät im Privatbesitz |  | Ja |  | Nein |
| Offline-Speicherung | | Ja | | Nein |
| Remote Access | | Ja | | Nein |
| Verschlüsselung | | Ja | | Nein |
| Andere (z.B. Cross Border) | | Ja | | Nein |
| Zugang durch Dritte | ||||||
|---|---|---|---|---|---|---|
| Wahrscheinlichkeit Diebstahl | | Hoch | | Mittel | | Niedrig |
| Wahrscheinlichkeit Verlust | | Hoch | | Mittel | | Niedrig |
| Wahrscheinlichkeit Malware | | Hoch | | Mittel | | Niedrig |
Daraus lässt sich die Eintrittswahrscheinlichkeit feststellen.
| Festgestellte Eintretenswahrscheinlichkeit | Hoch |
|---|
Möglicher Schaden
Weiter lässt sich der mögliche Schaden der Informationen auf dem Gerät feststellen.
| Klassifikation möglicher Schaden | ||||||||
|---|---|---|---|---|---|---|---|---|
| Vertraulichkeit | | Öffentlich | | Intern | | Vertraulich | | Geheim |
| Data Records | | Keine | | Eine | | Einige | | Viele |
| Rufschädigung | | Keine | | Niedrig | | Mittel | | Hoch |
| Confidentiality | | Keine | | Niedrig | | Mittel | | Hoch |
| Integrity | | Keine | | Niedrig | | Mittel | | Hoch |
| Availability | | Keine | | Niedrig | | Mittel | | Hoch |
| Andere (z.B. CID) | | Keine | | Niedrig | | Mittel | | Hoch |
Daraus können wir das Risiko des möglichen Schaden feststellen.
| Festgestellter möglicher Schaden | Mittel |
|---|
Wenn die Eintretenswahrscheinlichkeit dem möglichen Schaden gegenübergestellt wird, können wir das in einer Matrix zur endgültigen Bestimmung der Risikoklasse visualisieren.
| Möglicher Schaden | |||||
|---|---|---|---|---|---|
| Keiner | Niedrig | Mittel | Hoch | ||
| Eintretenswahrscheinlichkeit | Hoch | • | |||
| Mittel | |||||
| Niedrig | |||||
| Keines | |||||
Fazit
Aus Sicht eines Unternehmens können theoretisch alle Mitarbeitenden mit ihren privaten mobilen Devices erhebliche Schäden an der IT-Umgebung und den sensitiven Daten (Geschäfts-, Kunden-, persönliche und personenbezogene Daten) eines Unternehmens verursachen. Und wie wir wissen ist das auch schon oft geschehen. Dieser Entwicklung sorglos zu begegnen, führt zu tiefgreifenden Konsequenzen.
Um dem Einzug des Privaten in die Arbeitswelt und des Geschäftlichen in die Privatsphäre Positives abzugewinnen, bedarf es einer umfassenden Berücksichtigung nicht nur technischer Aspekte, sondern auch rechtlicher, kultureller und gesellschaftlicher Aspekte und Tendenzen. Und natürlich einer intelligenten Balance zwischen Freiheiten der Mitarbeitenden beim Einsatz ihrer mobilen Devices im Unternehmenskontext und Einschränkungen zum Schutz des Geschäftlichen und Privaten.
Aus Sicht der Mitarbeitenden erscheint die Verschmelzung von Privat- und Arbeitssphäre auf den ersten Blick voller Vorzüge, da es den Anschein einer Erweiterung des privaten Raums mit grossen Freiheiten erweckt. Nun erweist sich aber, dass auch das Gegenteil der Fall sein kann. Denn in einer globalisierten, grösstenteils digitalisierten Wirtschaft, wo die Grenzen zwischen Privat und Geschäft verschwimmen, sind persönliche oder personenbezogene Daten eine bedeutende Ressource und fruchtbares Fundament extrem lukrativer Geschäfte. Umso mehr sollten Mitarbeitende darauf bedacht sein und sensibilisiert werden, ihre privaten Angelegenheiten auch privat zu halten. Leider zeigt der Trend in die entgegengesetzte Richtung.
Wie wir aus den Medien entnehmen können, akzentuieren sich die Probleme beim Datenschutz und dem Schutz der Privatsphäre, während sich gleichzeitig die Hoffnungen auf schnelle, einfache Lösungen technischer, gesellschaftlicher oder juristischer Art wie Privacy by Design verflüchtigen. Und obwohl überall Diskussionen sowohl über die von Geheimdiensten praktizierte Massenüberwachung, als auch über den Datenschutz und über die Verwischung der Grenzen zwischen öffentlichem, geschäftlichem und privatem Leben geführt wird, fühlen sich viele durch diese Probleme nicht persönlich betroffen.
Diese leichtsinnige Indifferenz bezüglich der eigenen Privatsphäre, erscheint mir in hohem Masse problematisch.
Über den Autor
Werden auch Ihre Daten im Darknet gehandelt?
Wir führen gerne für Sie ein Monitoring des Digitalen Untergrunds durch!
×
Active Directory-Zertifikatsdienste
Eric Maurer
Fremde Workloadidentitäten
Marius Elmiger
Active Directory-Zertifikatsdienste
Eric Maurer
Sie brauchen Unterstützung bei einem solchen Projekt?
Unsere Spezialisten kontaktieren Sie gern!